Au programme de l'administration Biden, la volonté de mieux protéger les infrastructures critiques, des actions renforcées contre les échanges illégaux de cryptomonnaies et, surtout, la perspective de sanctions pour les fournisseurs de logiciel qui manqueraient à leurs obligations en matière de cybersécurité.Rendre les fournisseurs de logiciel responsables devant la justice en cas de faille exploitée par les hackers, telle est l'idée phare de la nouvelle feuille de route de la cybersécurité, publiée par la Maison Blanche. Une stratégie qui vise à « rééquilibrer la responsabilité de protéger le cyberespace » en allégeant le poids qui pèse actuellement sur les individus, les petites entreprises et les administrations publiques locales.
« La stratégie du président repense fondamentalement le contrat social américain autour de la cybersécurité », a affirmé Kemba Walden, la directrice de la cybersécurité nationale (un poste créé il y a deux ans), lors d'une conférence de presse. « Nous attendons davantage de ceux qui possèdent et opèrent nos infrastructures critiques. »
Les entreprises du logiciel dans la ligne de mire
Ce document témoigne pour l'heure simplement d'une orientation stratégique et n'a pas force de loi. Il indique toutefois que l'administration Biden entend bien passer de nouvelles régulations visant à contraindre les entreprises prestataires d'infrastructures web jugées critiques (ce qui pourrait par exemple inclure les géants de l'informatique en nuage) à se plier à un certain nombre de standards en matière de cybersécurité. Mais aussi à sanctionner, suite à une cyberattaque, celles qui ne rendent pas leur code suffisamment sécurisé.
« Les entreprises du logiciel doivent avoir la liberté d'innover, mais elles doivent également être tenues responsables légalement lorsqu'elles manquent à leur devoir de protection vis-à-vis des consommateurs, des entreprises et des fournisseurs d'infrastructures critiques », lit-on ainsi dans le document. « Protéger les données et assurer la fiabilité des systèmes critiques doit être la responsabilité de ceux qui possèdent et opèrent les dispositifs hébergeant nos données. »